Sosyal Mühendislik Nedir?

Sosyal Muhendislik Nedir
Sosyal Muhendislik Nedir

Sosyal mühendislik nedir? Bu yazıda size siber güvenlik kapsamında Sosyal Mühendislik nedir, siber saldırganlar insanları ikna etmek için hangi teknikleri bir kaç canlı örnek ile paylaşmak istedim. Sosyal Mühendislik, size ait gizli bilgileri elde etmek için çeşitli teknikleri kullanarak, sizleri ikna etme yöntemidir diyebiliriz. Sosyal mühendislikte, kötü niyetli kişiler size ait gizli bilgileri ele geçirmek için internet üzerinden elektronik posta, sosyal medya yada telefon kullanarak sizleri manipüle ederek size ait gizli bilgileri almaya çalışırlar. Sosyal mühendislik tekniklerine hakim olmanız sizleri bu tür saldırılara karşı hazır hale getirecektir.

Geçen hafta Sophos Evolve 2020 etkinliğinde Rachel Tobac ın bir sunumunu izledim. Rachel, ProofSecurity kurucusu ve CEO su. Kendisi aynı zamanda iyi bir sosyal mühendis ve canlı yayında insanların kişisel gizli bilgilerini sosyal mühendislik teknikleri ile ele geçiriyor. Sunumda da CNN Muhabiri’nin otel hesabında bulunan puanları kendi hesabına nasıl aktardığını gösterdi. Oldukça etkili ve öğretici sunumda aldığım notlar ve bu konu özelinde kendi deneyimlerimden de önemli gördüğüm bilgileri sizlerle paylaşmak istedim. Keyifli okumalar.

İnsanları İkna Etmenin 6 Prensibi

Rachel sunumunda siber saldırganların kullandığı sosyal mühendislik yöntemlerinden bahsetti. Genel olarak kullanılan yöntemler insanları ikna etmek için  kullanılan aşağıda paylaştığım altı prensibe dayanıyormuş. İnsanları ikna etmenin 6 prensibi Dr. Robert Cialdini tarafından yazılan İknanın Psikolojisi kitabında paylaşılmış.  Aşağıda insanları ikna etmenin 6 prensibini  başlık olarak veriyorum. Detayları için ayrıca bir yazı hazırladım bu adresten erişebilirsiniz.

  • Mütekabiliyet/Karşılıklılık -Reciprocity
  • Kıtlık/Az Bulunurluk – Scarcity
  • Otorite/Yetki – Authority
  • Tutarlılık – Consistency
  • Beğeni/Hoşlanma – Liking
  • Uzlaşma – Consensus

Şimdi gelelim Rachel’in sunumda bizimle paylaştığı sosyal mühendislik gösterisine!

Rachel CNN muhabirinin otel hesabındaki puanların  yukarıda paylaştığım ikna yöntemlerinin bazılarını kullanarak kendi hesabına aktarılmasını sağladı! Aşağıdaki video uygulamalı tüm detayı izleyebilirsiniz.

Rachel, CNN muhabiri Donnie O’Sullivan’ın hesabına erişebilmek için ihtiyaç duyduğu bilgileri “Ad Soyad”, “Güncel Ev Adresi”, “Doğum Tarihi”, “Elektronik Posta Adresleri”, “Telefon Numaraları” olarak belirtti. Yani bir siber saldırgan size ait bu bilgilere erişebilirse sizin daha gizli bilgilerinizi, banka hesabınızı,… ele geçirebilir. Düşünün sizlerin bu bilgileri erişilebilir durumda mı?. Rachel, Donnie’nin kişisel bilgilerinin bir kısmını twitter hesabından buldu. Telefon numarasını kaldıkları otelden ulaştı. Adresini Donnie’nin alış veriş yaptığı bir mobilya mağazasından öğrendi! Daha sonra tüm kendi cep telefonuna bir uygulama kurarak kendi telefonundan karşı tarafı sanki Donnie’ymiş gibi aradı. (hem numarasının Donnie’nin numarası gibi gösteren hem de ses değiştiren bir program kullandı) Otel görevlisi hiç bir doğrulama yapmadan Donnie’nin puanlarını Rachel hesabına aktardı, tabii Donnie şok oldu! Düşünün bunu siber suçluluların hesabınızdaki parayı çalmak için yaptığını! Dikkat!

Rachel’in bu durumlara düşmemeniz için önerileri;

  1. Belirli bir seviyede paranoyak olun, tanımadığınız birisinden telefon yada elektronik posta ile bir talep iletildiğinde buna şüpheyle yaklaşın.
  2. Sizi tanımayan birisi arayıp bir talep ilettiğinde kim olduğunu sorun. Telefon numarasını alın geri arayın. Bir şekilde arayan kişinin sizden istediği şeyin gerçekliğini iki farklı yöntemle doğrulamaya çalışın.
  3. Bir banka, telekom,… servis sağlayıcıdan aranıyorsanız. Kapatın geri arayın ve arayanın sizden istediklerini ileterek teyit alın.

Elektronik posta yolu ile size ait gizli bilgileri ele geçirmek için en sık kullanılan yöntemler;

  • Microsoft’tan, Apple’dan,… gelen …. uygulamasının güvenlik açığını kapatmanızı isteyen bir elektronik posta
  • Bir banka tarafından gönderilen şifrenizin değiştirilmesi,…. istenen bir elektronik posta
  • Ödül kazandığınıza dair bir elektronik posta
  • İş arkadışınız dan gönderilmiş gibi gösterilen içerisinde bir talimat olan bir elektronik posta

Rachel sunumunda son maddede belirtilen yöntemle gerçekte dolandırılmış bir kurbanın başına gelenleri paylaştı.  “Shark Tank” jürisi Barbara Corcoran tam 388.770 Usd dolandırılmış! Olayın gelişimi şu şekilde;

  1. Siber saldırgan, Barbara’nın asistanı’nın e-posta adresini taklit ederek muhasebecisine bir elektronik posta gönderir. Sözde asistan muhasebecisine Barbara’nın onarımda olan evi için (gerçekte Barbara’nın Almanya’daki bir evinin tadilatı yapılıyormuş, siber saldırgan dersini iyi çalışmış) paranın gönderilmesi gerektiğini iletir.
  2. Muhasebeci cevap olarak asistana sorun olmadığını söz konusu firmaya ne kadar gönderilmesi gerektiğini soran bir elektronik posta ile yanıt döner!
  3. Sözde asistan cevap olarak Perşemge günü ilgili firmaya 388.770 Usd para gönderilmesini içeren bir elektronik posta iletir.
  4. Muhasebeci 388.770 Usd para transferini yapar ve siber saldırgan parayı alıp kayıplara karışmıştır!

Uç bir örnek gibi görünüyor olabilir ancak buradan çıkartılacak okadar çok ders var ki? İletilen talebin teyit edilmesi, muhasebicinin mail ile  ilettiği talebi telefonla da doğrulaması gerekirdi! Rachel sunumunda bu tür durumlar için ikili doğrulama yönteminin kullanılmasını öneriyor!

Diğer yaygın saldırı yöntemi oltalama (phishing) tekniği ile kimlik bilgilerinizin çalınması. Sunumda Rachel aşağıdaki örneği paylaştı.

  1. Resimde göreceğiniz şekilde Amerikan Havayolu şirketinden geldiği görünen sahte bir elektronik postada Covid-19 kaynaklı sebeblerle…. 50.000 Avantaj puanı verileceği söyleniyor. Bu fırsattan yararlanmak için için mesajın en altında bir bağlantı adresi paylaşılıyor ve kullanıcının bu adrese girmesini ve istenilen bilgileri doldurması isteniyor.  OltalamaMesaji

2. Bağlantı adresine tıklandığında bir form açılıyor ve bu forma kullanıcının Amerikan Havayolu şirketindeki hesap bilgilerini girmesi istenmektedir.

OltalamaMesaji

3. Kullanıcı hesap bilgilerini girmesi sonrasında aslında sahte olan bu sitede kullanıcının bilgileri siber saldırganların eline geçmiş olacaktır.

OltalamaMesaji

Bu oltaya gelmemek için yapabilecekleriniz;

  • Gönderen elektronik posta adresinin uzantısını kontrol edin. ...@... işaretinden sonra gelen alan adı gönderen şirketle uyumlu mu? Bunu anlamak için şirketin web sitesine ziyaret edebilirsiniz www dan sonra gelen alan adı ile @ işaretinden sonra gelen alan adı %99 aynıdır. Bu iki adreste bir farklılık varsa bundan şüphelenin.
  • Elektronik posta adresi içerisinde verilen bağlantı adresi üzerine mouse ile geldiğinizde gideceğiniz yerin adresi bir şekilde görülür. Bu adres yukarda verdiğim formata uygun mu, sonu sirket alan adini içeriyor mu kontrol edin.
  • Bağlantı adresine tıkladınız açılan pencere üzerinde mutlaka adresi kontrol edin.
  • Şüpheleniyorsanız elektronik postanın gönderildiği şirketi arayın ve böyle bir uygulamaları olup olmadığını sorun.

Son olarak tekrar altını çizmek istiyorum;

  • Biraz paranoyak olun! Tanımadıklarınız tarafından iletilen taleplerde mutlaka şüphelenin
  • Bu talepleri mutlaka iki farklı yöntemle doğrulayın
  • Tanımadığınız bir yerden telefonla arandığınızda kapatıp geri arayın
  • Hesaplarınızda kullandığınız şifreleriniz mutlaka farklı olsun, facebook için ayrı, goole için ayrı şifreler kullanın
  • Şirket elektronik posta ve şifrelerini sosyal mecralarda kullanmayın
  • Mümkün olan her yerde çift faktör doğrulama yöntemini kullanın
  • Şifrelerinizi yöneteceğiniz bir yardımcı araç kullanın

Güvenle kalın…

export

Run Zeus Run

Geçtiğimiz hafta sonu, Kaz Dağları’nın etkileyici doğasında 36K Run Zeus parkurunu başarıyla tamamladım. Koşunun adını hak ettiğini söylemeliyim; bu parkuru tamamlamak gerçekten Zeus gücü gerektiriyordu. […]

export

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı: Veri Merkezleri ve Güç Altyapısına Yatırım

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı. Veri Merkezleri ve Güç Altyapısına Yatırım. Global Infrastructure Partners (GIP), BlackRock, Microsoft ve MGX, yapay zeka (AI) teknolojilerine […]

Müzik ve Hafıza
Bilim

Müzik ve Hafıza

Georgia Institute of Technology tarafından gerçekleştirilen “Müzik ve Hafıza” konulu araştırma, müziğin bilişsel süreçler ve hafıza üzerindeki etkilerine odaklanan önemli bulgular sunuyor. Bu araştırma, özellikle […]

Bilim

Magnon-Fonon Fermi Rezonansı

Araştırma ekipleri bir antiferromanyette magnon-fonon Fermi rezonansını keşfetti. Yakında, veri depolama merkezlerinin dünya enerji üretiminin neredeyse %10’unu tüketmesi bekleniyor. Bu artış, diğer şeylerin yanı sıra, […]

export

Jeodezik Kubbeler

Jeodezik kubbeler, mimari ve mühendislik alanlarında dikkat çeken, işlevsel ve estetik yapılar olarak bilinir. Bu yapılar, ilk olarak 20. yüzyılın başlarında ortaya çıkmış ve zamanla […]

dunya nufusunda zirve
Manşet

Dünya Nüfusunda Zirve

Dünya Nüfusunda Zirve: Gelecekteki Tahminler ve Nedenleri. Son yıllarda dünya nüfusunun geleceği ile ilgili çeşitli tahminler ve senaryolar öne sürülmüştür. Birleşmiş Milletler’in (BM) son raporları, […]

akilli toprak
Bilim

Akıllı Toprak

Akıllık Toprak: Sürdürülebilir Tarım İçin Kendi Kendini Sulayan ve Gübreleyen Yüzeyler. Günümüzde tarım sektörü, artan nüfus ve iklim değişikliği gibi faktörlerle karşı karşıya kalırken, sürdürülebilir […]

nato inovasyon fonu
Manşet

NATO Inovasyon Fonu

Son yıllarda Avrupa’da savunma teknolojisi girişimlerine yapılan yatırımlar hız kazandı. NATO’nun 1 milyar euroluk girişim sermayesi fonunun başındaki Andrea Traversone, Avrupa’nın ABD’deki büyük teknoloji şirketlerine […]

kusaklararasi yoksullasma
Manşet

Kuşaklararası Yoksullaşma

Kuşaklar arası yoksullaşma, ekonomik eşitsizlik ve fırsat adaletsizliği gibi konular, günümüz toplumlarının en önemli sorunlarından biri haline gelmiştir. Baby boomer kuşağından başlayarak, X kuşağı, Y […]

maf antrenman yontemi
Koşu

MAF Antrenman Yöntemi

MAF (Maximum Aerobic Function), Dr. Philip Maffetone tarafından geliştirilen bir antrenman yöntemidir. Bu yöntem, aerobik kapasiteyi maksimize ederek sporcuların daha verimli ve sağlıklı bir şekilde […]

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak gereken her ne iş yapıyorsanız Anda olduğunuzda, tamamen kilitlenirsiniz ve dikkatinizi dağıtan şeyleri engelleyebilirsiniz, bu da her ne yapıyorsanız en iyi şekilde yapmanıza yardımcı olur. Bu yazıda size öncelikle basketbolda antrenmanlarda ve maçlarda anda nasıl daha fazla kalabileceğinizle ilgili bilgiler bulacaksınız.
Manşet

Basketbolda Anda Olmak

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak […]

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk'ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland Arbaugh'un düşünceleriyle bir bilgisayar imlecini kontrol ettiği bir video yayınladı. Elon Musk tarafından kurulan beyin-bilgisayar arayüzü şirketi Neuralink, firmanın implantının "hayatını değiştirdiğini" söyleyen ilk hastasının kimliğini açıkladı. Ancak uzmanlar, Nueralink'in mevcut araştırma çabalarını kopyalamanın ötesinde bir şey yapıp yapmadığının henüz net olmadığını söylüyor.
Manşet

Neuralink

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk’ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland […]

sihirli dovme murekkebi
Bilim

Sihirli Dövme Mürekkebi

HYPRSKN Magic Ink (Sihirli Mürekkep), dünyanın ilk yeniden yazılabilir, silinebilir ve yeniden programlanabilir dövme mürekkebidir. Bu sihirli mürekkep, dövme sektörünü yeniden tanımlayarak bireylerin vücut sanatı […]

aralikli oruc
Bilim

Aralıklı Oruç

Aralıklı Oruç olarakda bilinen zaman kısıtlı beslenme ile ilgili Amerika Kalp Derneğinin 18-21 Mart 2024 tarihinde Chicago’da düzenlenen “Epidemiyoloji ve Önleme|Yaşam Tarzı ve Kardiyometabolik Bilimsel […]

Yavaş Koşu kavramı Japonya'dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, vücuda aşırı yük bindirmeden, kalp sağlığını, metabolizmayı destekleyerek ve zihinsel stresi azaltarak genel sağlığı iyileştirmeye odaklanır. Bu koşu türü Japonya'da Dr. Hiroaki Tanaka tarafından popüler hale getirilmiştir. Dr. Tanaka, bu egzersiz metodunun kalp atış hızını aşırı yükseltmeden, sağlıklı ve etkili bir şekilde fiziksel kondisyonu artırabileceğini keşfetti.
Koşu

Yavaş Koşu

Yavaş Koşu kavramı Japonya’dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, […]

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak'ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini paylaşmış ve hastanın iyileşme sürecinde olduğunu belirtmişti. Üzerinden 1 ay geçen bu operasyon sonrasında hastanın düşünce gücü ile bilgisayar faresini hareket ettirebildiği ile ilgili bir haber paylaşıldı. Beyin çiplerinin geleceğini merak ediyorsanız farklı kaynaklardan derlediğimiz yazı ilginizi çekebilir?
Manşet

Beyin Çiplerinin Geleceği

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak’ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini […]

limonata ve rafadan yumurta
Manşet

Limonata ve Rafadan Yumurta

Çetin Altan tarafından ilk kez 1985’te Güneş gazetesinde, sonra 2.6.2003 ve 21.7.2012 tarihlerinde Milliyet’te yayınlanan “Limonata ve Rafadan Yumurta” başlıklı yazısını sizlerle paylaşmak istedik. Usta […]

yetenek acigi
Eğitim

Yetenek Açığı

Dünya çapında işverenler, yetenek açığının üstesinden gelme mücadelesini sürdürüyor. ManpowerGroup’un kapsamlı “Yetenek Açığı Raporu” bu konuda aydınlatıcı veriler sunuyor. Yıllara Göre Yetenek Açığı Manpower Group […]

yokus kosu antrenmani
Koşu

Yokuş Koşu Antrenmanı

Yokuş koşu antrenmanı, koşmayı seviyor olsanız bile, yokuş yukarı koşmayı sevmeme ihtimaliniz yüksektir. Yerçekimine karşı verilen bu mücadele sizi zorlayabilir, ancak koşu yarışlarına, özellikle de […]

yilin sozcugu otantik
Manşet

Yılın Sözcüğü “Otantik”

Yılın Sözcüğü “Otantik”. Merriam-Webster’ın 2023 Yılın Kelimesi olarak seçtiği kelime “authentic” (otantik) oldu. Bu kelime, her zamankinden daha fazla düşündüğümüz, yazdığımız, özlemini çektiğimiz ve yargıladığımız […]

kworks demo day
Manşet

KWORKS Demo Day

🎯Bu yıl Koç Üniversitesi Girişimcilik Merkezi KWORKS bünyesinde yer alan girişimlere mentorluk yapmaya başladım. Birebir çalıştığım girişimlere uzmanlık alanım ve tecrübelerim doğrultusunda destek oluyorum. Bu […]